เมนู

Synology พบ !! ช่องโหว่ระดับ Critical

2023-01-Synology

CVE-2022-43931 (CVSS: 10/10) ใน VPN Server ระบบใช้งานไม่ได้ ข้อมูลต่างๆ รวมถึงหน่วยความจำเสียหาย แนะนำผู้ใช้ทำการอัปเดต VPN Plus Server ให้เป็นเวอร์ชันล่าสุด

04 มกราคม 2566

บริษัท Synology ผู้ผลิตอุปกรณ์ NAS ในประเทศไต้หวัน ได้ทำการแก้ไขช่องโหว่ระดับความรุนแรงสูงสุดถึง 10/10 ส่งผลกระทบต่ออุปกรณ์เราเตอร์ ในส่วนของการใช้งาน VPN Server

ช่องโหว่ CVE-2022-43931 ถูกค้นพบโดยทีม Synology’s Product Security Incident Response Team (PSIRT) ในส่วนของซอฟต์แวร์ VPN Plus Server ที่ได้รับคะแนน (CVSS: 10)

VPN Plus Server เป็น Virtual เซิร์ฟเวอร์ที่ช่วยให้ผู้ดูแลระบบสามารถกำหนดค่าการใช้งาน VPN ในการอนุญาตให้ผู้ใช้งานสามารถเข้าถึงข้อมูล หรือทรัพยากรต่างๆ ได้จากระยะไกล

ทางบริษัท Synology พบว่าช่องโหว่ที่เกิดขึ้นมีกระบวนการทำงานที่ไม่ซับซ้อนมาก และไม่จำเป็นต้องตรวจสอบสิทธิ์ ส่งผลให้ผู้โจมตีใช้ประโยชน์จากช่องโหว่นี้ ในโจมตีรวมถึงการเรียกใช้งานโค้ดต่างๆ ใน Synology VPN Plus Server ในเวอร์ชั่นที่ยังไม่ได้รับการอัปเดต ซึ่งอาจส่งผลกระทบอื่นๆ เช่น ข้อมูลเสียหาย ระบบล่ม จนถึงทำให้หน่วยความจำเสียหาย

เพื่อเป็นการป้องกัน และแก้ไขช่องโหว่ ทาง Synology แนะนำให้ลูกค้าทำการอัปเกรด VPN Plus Server สำหรับ SRM (Synology Router Manager) ให้เป็นเวอร์ชันล่าสุด

อ้างอิง: Bleepingcomputer.com

#ข่าวไซเบอร์ #ภัยคุกคาม #Synology #CVSS #VPN #NAS #SRM #CVSS3 #synology.com
#CVE2022-43931 #PSIRT #VPNServer #VPNPlusServer #1.4.4-0635 #1.4.3-0534